O Αντώνης Παπαδόπουλος, Εμπορικός Διευθυντής της AIG, μιλάει στο netweek για τις οικονομικές επιπτώσεις μιας επιτυχημένης επίθεσης, αναλύει τις καλύψεις που προσφέρει γι΄ αυτό το σκοπό το CyberEdge και τονίζει την ανάγκη πολύπλευρης προστασίας μιας επιχείρησης από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους του σήμερα.

netweek: Πόσο μπορεί να κοστίσει σε μια σύγχρονη επιχείρηση μια επιτυχημένη επίθεση;

Αντώνης Παπαδόπουλος: Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι είναι ένα αρκετά πολυεπίπεδο ζήτημα, το οποίο θα πρέπει να εξετάσουμε από διαφορετικές οπτικές γωνίες για να αντιληφθούμε την έκταση των επιπτώσεών του. Καταρχάς, υπάρχει το αμιγώς οικονομικό κόστος: σε περίπτωση διαρροής δεδομένων ή επίθεσης, η επιχείρηση θα κληθεί να καταβάλει αποζημιώσεις σε τρίτους, να διεξάγει ιδιαίτερα κοστοβόρες έρευνες, ενώ, παράλληλα, θα έχει να αντιμετωπίσει πιθανό έλεγχο από την Αρχή Προστασίας Δεδομένων, επιβολή διοικητικού προστίμου και ιδιαίτερα υψηλά νομικά έξοδα. Επιπλέον, ενδέχεται να προκύψουν χρηματικές απώλειες από την πιθανή διακοπή της λειτουργίας της επιχείρησης – ας σκεφτούμε το παράδειγμα ενός e- shop που πέφτει θύμα επίθεσης και αναγκάζεται να σταματήσει για κάποιο διάστημα τις πωλήσεις του, έως ότου γίνουν οι απαραίτητες έρευνες.

Αυτό μας φέρνει σε μια δεύτερη επίπτωση, που είναι τα προβλήματα στη λειτουργία της Διεύθυνσης Πληροφορικής της εταιρείας, η οποία θα κληθεί να αντιμετωπίσει το περιστατικό και να αποκαταστήσει τη ζημιά, συνεχίζοντας, παράλληλα, τη ροή των καθημερινών εργασιών της. Αφήνοντας στην άκρη τις καθαρά τεχνικές επιπτώσεις, αξίζει να σταθούμε και στον αντίκτυπο που θα έχει ένα τέτοιο συμβάν στη δημόσια εικόνα της επιχείρησης. Εάν, για παράδειγμα, έχουμε μια επίθεση που καταλήξει σε διαρροή ευαίσθητων προσωπικών δεδομένων, η επιχείρηση καλείται να διαχειριστεί μια σοβαρή επικοινωνιακή κρίση που θα κλονίσει τη θέση της στην αγορά, τη σχέση με τους πελάτες και συνεργάτες της και, φυσικά, το όνομά της.

Θα πρέπει να απαντήσει σε ερωτήσεις και αρνητικά σχόλια στα ΜΜΕ και τα social media, χωρίς να είναι απαραίτητα προετοιμασμένη για αντίστοιχο ενδεχόμενο. Ο συνδυασμός των παραπάνω μπορεί να επηρεάσει αρνητικά τη μετοχή της εταιρείας, σε περίπτωση που μιλάμε για εισηγμένη εταιρεία, οδηγώντας σε κάθε περίπτωση σε μια γενικευμένη κρίση στο πρόσωπο της διοίκησης. Βάσει των παραπάνω είναι σαφές πως τις συγκεκριμένες κατηγορίες κινδύνων δεν πρέπει να τις αντιμετωπίζουμε μονοδιάστατα. Στην AIG, μάλιστα, χρησιμοποιούμε την εικόνα του ντόμινο για να δείξουμε πώς ένα περιστατικό μπορεί να προκαλέσει αλυσιδωτές αντιδράσεις.

netweek: Λαμβάνοντας υπόψη ότι δεν υπάρχει απόλυτη προστασία, τι πρόσθετα μέτρα πιστεύετε ότι θα πρέπει να λάβει μια επιχείρηση, ώστε να μπορέσει να αντιμετωπίσει τις συνέπειες μιας επιτυχημένης επίθεσης;

Αντώνης Παπαδόπουλος: Πράγματι, απόλυτη προστασία από τη συγκεκριμένη κατηγορία κινδύνων δεν υπάρχει και μέχρι πρότινος τα μέτρα που λάμβαναν οι εταιρείες ήταν κυρίως προληπτικά, με αναβάθμιση των συστημάτων και του λογισμικού. Φυσικά, όσο και εάν εξελίσσονται τα μέτρα αυτά, αντίστοιχα θα εξελίσσονται και οι μέθοδοι επίθεσης. Δεδομένου, λοιπόν, ότι η πρόληψη δεν είναι αρκετή, έχει σημασία να εστιάσουμε στην αντιμετώπιση των συγκεκριμένων περιστατικών και εδώ είναι που φαίνεται ο ρόλος της ασφάλισης. Εδώ έχει σημασία να διευκρινίσουμε πως η παραδοσιακή κάλυψη αστικής ευθύνης ή η απλή ασφάλιση επαγγελματικής ευθύνης δεν μπορούν να καλύψουν τους συγκεκριμένους κινδύνους.

Αντίστοιχα, ανεπαρκής είναι και η ασφαλιστική προστασία που περιορίζεται στην προστασία έναντι «φυσικών» κινδύνων που απειλούν κυρίως το hardware. Αυτό που χρειάζεται μια επιχείρηση είναι μια ολοκληρωμένη λύση που να συνδυάζει την ασφαλιστική κάλυψη ηλεκτρονικών και διαδικτυακών κινδύνων με τις υπηρεσίες εξειδικευμένων συμβούλων και πραγματογνωμόνων. Εχοντας τα παραπάνω κατά νου, στην AIG δημιουργήσαμε το CyberEdge, ένα ολοκληρωμένο πρόγραμμα προστασίας από ηλεκτρονικούς και διαδικτυακούς κινδύνους που περιλαμβάνει τόσο ασφάλιση όσο και παροχή συμβουλευτικών υπηρεσιών από εμπειρογνώμονες.


netweek: Τι το παραπάνω προσφέρει το CyberEdge σε σχέση με τις λύσεις προστασίας των υποδομών ΙΤ που χρησιμοποιούν ήδη οι επιχειρήσεις; Τι καλύψεις και τι παροχές προσφέρει;

Αντώνης Παπαδόπουλος: Σε ότι αφορά το καθαρά ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων που μπορεί να προκύψουν μετά από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης ή απώλεια δεδομένων από φορητές συσκευές. Καλύπτονται, επίσης, τα έξοδα αποκατάστασης, εκ νέου περισυλλογής ή αναδημιουργίας των δεδομένων, ενώ προαιρετικά μπορούν να συμπεριληφθούν και οι χρηματικές απώλειες που θα προκύψουν όταν διακοπεί η λειτουργία των συστημάτων μιας επιχείρησης ή εάν υπάρξει εκβιασμός μετά από διαρροή δεδομένων. Προχωρώντας ένα βήμα πέρα από τα τυπικά ασφαλιστήρια, το CyberEdge καλύπτει το Διοικητικό Πρόστιμο που θα επιβληθεί από την Αρχή Προστασίας Δεδομένων, την διεκπεραίωση απαραίτητης σχετικής έρευνας από εξειδικευμένους συμβούλους Πληροφορικής, οι οποίοι θα αναλάβουν να ενημερώσουν την Αρχή σχετικά με τις συνθήκες του συμβάντος, καθώς και για τα τεχνικά μέτρα που θα λάβει η επιχείρηση προκειμένου να αποφευχθεί αντίστοιχο περιστατικό στο μέλλον.

Επιπροσθέτως, περιλαμβάνει το κόστος των υπηρεσιών που θα είναι απαραίτητες σε αντίστοιχα περιστατικά, όπως αυτές των νομικών συμβούλων, των πραγματογνωμόνων που θα κληθούν να διερευνήσουν τις συνθήκες και το μέγεθος της διαρροής των δεδομένων, καθώς και των συμβούλων επικοινωνίας και δημοσίων σχέσεων που θα καταρτίσουν ένα ενδελεχές πλάνο επικοινωνίας και διαχείρισης κρίσης προς εσωτερικά και εξωτερικά κοινά. Υπό αυτό το πρίσμα, το CyberEdge δεν λειτουργεί ανταγωνιστικά, αλλά συμπληρωματικά με τις λύσεις σε επίπεδο ΙΤ, στις οποίες επενδύει μια εταιρεία.

netweek: Σε μια πρόσφατη σχετική έρευνα της AIG που διεξήχθη σε ΗΠΑ και Καναδά, η πλειοψηφία των εταιρικών στελεχών ανησυχεί περισσότερο για τις ηλεκτρονικές και διαδικτυακές απειλές, σε σχέση με τις υπόλοιπες κατηγορίες κινδύνων. Επιπλέον, ένα μεγάλο ποσοστό των στελεχών αναφέρει πως είναι δύσκολο να παρακολουθήσει τις εξελίξεις, εξαιτίας του γρήγορου ρυθμού με τον οποίο μεταβάλλεται η συγκεκριμένη κατηγορία απειλών. Σε ένα τέτοιο τοπίο, πώς μπορεί να βοηθήσει ένα ασφαλιστικό προϊόν για την προστασία των υποδομών ΙΤ μιας επιχείρησης, όπως είναι το CyberEdge;

Αντώνης Παπαδόπουλος: Πράγματι, οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι ανεβαίνουν ολοένα και πιο υψηλά στην ατζέντα των επιχειρήσεων και αυτό οφείλεται όχι μόνο λόγω των ενδεχόμενων επιπτώσεών τους, αλλά και γιατί οι συνεχείς εξελίξεις στον τομέα της τεχνολογίας καθιστούν δύσκολη την πρόληψη των περιστατικών αυτών. Εκεί ακριβώς έγκειται και η σημασία του CyberEdge: ναι μεν δεν μπορούμε να διακρίνουμε με απόλυτη σιγουριά τα «τρωτά» σημεία των συστημάτων μιας εταιρείας ή να προβλέψουμε τις νέες μεθόδους επίθεσης, ωστόσο μπορούμε να μετριάσουμε τις συνέπειές τους. Γι’ αυτό άλλωστε όταν σχεδιάζαμε το προϊόν, εξετάσαμε λεπτομερώς τις επιπτώσεις των συγκεκριμένων κινδύνων και εμπλουτίσαμε τις ασφαλιστικές καλύψεις με τις επιπλέον συμβουλευτικές υπηρεσίες νομικών συμβούλων, εμπειρογνωμόνων και ειδικών σε θέματα εταιρικής επικοινωνίας.

netweek: Σε τι είδους εταιρείες απευθύνεται το CyberEdge; Μπορεί να καλύψει τις ανάγκες των μικρομεσαίων εταιρειών ή απευθύνεται μόνο σε μεγάλους οργανισμούς;

Αντώνης Παπαδόπουλος: Οταν μιλάμε για ηλεκτρονικούς και διαδικτυακούς κινδύνους, συχνά ακούμε τη λανθασμένη αντίληψη πως οι συγκεκριμένες απειλές επηρεάζουν μόνο τις μεγάλες επιχειρήσεις. Η αλήθεια είναι όμως ότι οποιαδήποτε εταιρεία διαχειρίζεται ηλεκτρονικά δεδομένα, ανεξαρτήτως μεγέθους, ενδέχεται να βρεθεί αντιμέτωπη με διαρροή ή απώλεια δεδομένων, είτε πρόκειται για εισηγμένη είτε για μικρομεσαία. Εδώ έχει σημασία να σταθούμε και στη φύση του περιστατικού. Από τη μία υπάρχουν οι κακόβουλες εξωτερικές επιθέσεις από hackers, οι οποίες γίνονται με στόχο είτε τα δικά τους οικονομικά οφέλη είτε για να αποδείξουν ότι μπορούν να μπουν στα συστήματα μιας εταιρείας.

Από την άλλη έχουμε το φαινόμενο των ίδιων των εργαζομένων της εταιρείας που ενδέχεται να διαρρεύσουν τα δεδομένα του εργοδότη τους, είτε κακόβουλα είτε από αμέλεια. Ας πάρουμε το απλό παράδειγμα εργαζομένου που μεταφέρει αρχεία της εταιρείας σε USB flash drive για να εργαστεί από το σπίτι του. Μπορεί να ακούγεται ακραίο, κι όμως τα τελευταία χρόνια υπήρξε μια μεγάλη υπόθεση διαρροής προσωπικών δεδομένων που προέκυψε όταν εργαζόμενος σε μεγάλη πολυεθνική εταιρεία έχασε ένα USB Flash Drive με σημαντικά και εμπιστευτικά αρχεία.

netweek: Εκτός από το CyberEdge ποια είναι τα σχέδια σας όσον αφορά τη δραστηριοποίησή σας σε αυτό το κομμάτι της αγοράς και τι επενδύσεις σκοπεύετε να κάνετε στο μέλλον;

Αντώνης Παπαδόπουλος: Η AIG είναι η πρώτη εταιρεία που παρουσίασε στην ελληνική αγορά ένα εξειδικευμένο προϊόν για ηλεκτρονικούς και διαδικτυακούς κινδύνους όπως είναι το CyberEdge και η αλήθεια είναι πως μέχρι στιγμής η ανταπόκριση των εταιρειών είναι εξαιρετική. Από την πλευρά μας συνεχίζουμε να εστιάζουμε σε αυτό, εξετάζοντας πάντα πώς μπορούμε να κάνουμε βελτιώσεις στις υπάρχουσες καλύψεις, ώστε να ανταποκρίνεται καλύτερα στις ανάγκες των επιχειρήσεων.